Telegram и шифрование

Точно так же как в ICQ. Только telegram.

Когда я писал в icq (это было очень давно) там не было шифрования.

Ладно спрошу по другому, как проходит обмен ключами для нового клиента?

на стороне сервера, конечно. Ключи от дворца Павел только Франции и возможно России предоставил.

Используйте шифроблокноты, например «В чуркистане солнечный день», либо явное шифрование - jA0EBwMC1xRZ/Olwfu7h0j8BEHPtWx1MGxSPBNp8aV6pgVqfjIvx1UWOlhlybgKxTzafz5ICP1YA5mj05AVTr5qAKLMrfDk+1GyL7Dit5Q=

Не совсем понял. Причем тут сервер?

Еще раз, Вы можете продолжить приватную беседу на другом устройстве?

ну да. Залогинился и продолжил. В чём вопрос-то?

Не понял, вы залогинитесь и продолжаете приватную (шифрованную) беседу?

o_O. Мда … у меня просто нет слов.

Прошу прощения, неправильно выразился - не залогинился. Допустим, перешел со смартфона на десктоп. У меня устройства и так все в сети. Насчет именно логина - не в курсе.

Речь скорее всего о т.н. секретных чатах, где ключи по идее есть только на девайсах участников чата, и с ними такой фокус (продолжить разговор с другого устройства) не прокатывает. И да, на десктопе их нет, по крайней мере у меня в официальном клиенте под онтопик.

Речь скорее всего о т.н. секретных чатах, где ключи по идее есть только на девайсах участников чата,

Не обязательно. Ты можешь хранить ключи и на их сервере, но должна быть возможность отключить это. И в этом случае обмен ключами должен происходить пересылкой его по другому каналу.

Вот мне и интересно tlgrm все это обеспечивает или нет?

и с ними такой фокус (продолжить разговор с другого устройства) не прокатывает

Видимо, очередная мера, чтобы секретные чаты были максимально неудобными. В WhatsApp такой проблемы нет, при этом e2e-шифрование там принципиально неотключаемое.

Видимо, очередная мера, чтобы секретные чаты были максимально неудобными.

Судя по тому что мне написали, тут нет секретных чатов вообще.

Есть, но реально неудобные. Telegram, несмотря на огромную популярность в криминальной среде (наркотики, проституция и т.д.), больше всё же про удобство, а не про конфиденциальность. Такой чат из соцсетей на максималках и без лишнего мусора.

ключи секретных чатов хранятся только на клиенте.
в телегоклиенте вообще отсутствует какая-либо функциональность по какому-либо варианту изъятия e2e ключей с устройства.
это отдельно оговаривалось и проверялось по коду.

e2e-чат на другое устройство без хаков не переместить.

e2e многопользовательский чат кажись есть в сигнале. но надо смотреть.
секретутных чатов до хрена, есть и позащищеннееее :) на телеге свет клином не сошелся. просто Паша коммерцию раскрутил :)

e2e-чат на другое устройство без хаков не переместить.

Т.е. если у тебя телеграмм стоит на 2х устройствах. И ты на одном начал секретный чат, то 2м устройстве ты этот чат не видишь?

Так?

Да.

e2e-чат можно создать между двумя устройствами. на одном клиенте ты начинаешь е2е-чат - идет запрос ко второму. они совместно формируют ключи для e2e. после этого чат считается созданным.
твой же, но другой телегам-клиент этот чат не увидит.

Установил tlgrm-desktop

Если ты про «секретные чаты» то они на десктопном и web клиенте недоступны, только смартфоны и нативный клиент под os-x

Ок. Ну по крайне мере это создает видимость что эти чаты могут быть и по настоящему секретными. Вот если бы такая возможность была то это точно палево, а так уже 50/50.

Я почему спросил в matrix это сделано через импорт-экспорт ключа или через специального (как они пишут бумажного) файла.

Ну по крайне мере это создает видимость что эти чаты могут быть и по настоящему секретными.

Во-первых, они действительно секретные, просто сделаны неудобно. Во-вторых, не создаёт, потому что нет никакой угрозы конфиденциальности, если обмен ключами между сессиями корректно реализован. Дрочка с экспортом и передачей файлов как раз создают угрозу безопасности. Видимо, этот ваш Matrix делали какие-то клоуны, как и Telegram, к слову.

Во-первых, они действительно секретные, просто сделаны неудобно.

Ну во первых в matrix ты можешь выбрать хранить ключи локально или выбрать сервер (матрикс это децентрализовнная система так что сервер может быть и свой) где ключи складывать. (причем твой домашний сервер и сервер хранение ключей могут быть разные)

В этом случае все как обычно.

И вот это локальный импорт экспорт дают возможность вести чат с разных мест.

И потом когда ты входишь на новое устройство в телеграмме ты же ведь должен подтвердить его на старом?

Во-первых, они действительно секретные

И это просто слова без доказательств, хотя обратное тоже не доказано.

e2e-чат можно создать между двумя устройствами. на одном клиенте ты начинаешь е2е-чат - идет запрос ко второму. они совместно формируют ключи для e2e. после этого чат считается созданным.

Не совсем понятно а начальный обмен ключами через что идет?

Tlgrm_and_Encryption

tlgrm

Больше так не делай.

Открыл чат и дальше разговариваешь. В этом и проблема, в отличии от матрикса или сигнала где старые сообщения на новом устройстве не будут доступны.

А в телеге копируешь профиль и вот он доступ к чужим закрытым чатам.

Что именно? Нельзя писать по английски?

Если что tlgrm это их (одно из) официальное название телеграмма. Не я это придумал.

А в телеге копируешь профиль и вот он доступ к чужим закрытым чатам.

Выше писали что так оно не работает.

Не совсем понятно а начальный обмен ключами через что идет?

А вот это правильный вопрос, там вроде по dh согласование, но конкретную реализацию смотреть надо, видимо через сервера tg.
Задать PSK или GPG и обменяться ими через сторонние каналы нельзя.

нет, приватный и зашифрованный чат доступен только на устройстве, на котором начат. Взял бы да попробовал сам

видимо через сервера tg.

Вот в этом и соль.

А как же тут выше писали про копирование профиля?

это фантазёры

Официальная телега - telegram-desktop. Остальное - хз.

И потом когда ты входишь на новое устройство в телеграмме ты же ведь должен подтвердить его на старом?

Нет, но на другие клиенты приходит уведомление о входе с нового устройства.

И это просто слова без доказательств, хотя обратное тоже не доказано.

Код клиентов открыт, пока никто не нашёл в реализации e2e-шифрования ничего подозрительного. Но я бы в любом случае через телегу не стал обсуждать гостайны. Какие-то чувствительные «нетелефонные» обсуждения, секстинг, такие вот вещи норм. Для вопросов вселенской важности лучше использовать почту с PGP.

https://www.atraining.ru/telegram-mtproto-2-0-security-questions/ Я только это находил, но там Карманов, сомнительный источник

Если что tlgrm это их (одно из) официальное название телеграмма

Ссылки в гугле с таким написанием выглядят или прямо говорят, что они unofficial.

Еще раз, Вы можете продолжить приватную беседу на другом устройстве?

Насколько я помню, нет. Где-то когда-то читал, причем мне казалось, что в оф доке телеги, но сейчас найти её не могу почему-то.

Код клиентов открыт, пока никто не нашёл в реализации e2e-шифрования ничего подозрительного.

А что там можно найти если обмен идет через сервер?

Я не про использование шифрования телеграмм для чего либо, я про доказательство что там есть 100% шифрование а не сказки.

Есть такое в доке:

https://telegram.org/privacy/ru

По той же причине секретные чаты недоступны в облачном хранилище — сообщения в них можно просмотреть только на том устройстве, с которого или на которое они были отправлены.

единственно что это всего лишь слова, без доказательства.

Tlgrm_and_Encryption

А чё, на остальные буквы запала не хватило? Надо было Tlgrm_nd_ncrptn.

Так это слово у них увидел, до сегодня не знал про такое, ну раз нельзя так нельзя. Не буду так больше писать.

Я не про использование шифрования телеграмм для чего либо, я про доказательство что там есть 100% шифрование а не сказки.

Такого доказательства никогда не будет, если не сам аудируешь код клиентов и сервера и не сам их компилируешь.

Несколько лет назад, какая-то известная организация проводила аудит кода WhatsApp, и мамой клялись, что там невскрываемое e2e шифрование, которое не может быть прочитано на стороне сервера.

Началась в 2022 году СВО, и наши парни очень быстро на печальном опыте убедились, что как только они пишут что-то родным в WhatsApp, то эта информация уже на следующий день в штабах противника. Переписка вместе с фоточками. И затем эта информация используется, например, чтобы харассить родственников.

Короче, нельзя верить ни в какое шифрование, кроме того, которое написал сам.

К тому же, зачем-то Дурова арестовывали во Франции, а затем отпустили. Если до этого и могли быть какие-то сомнения, то теперь…

И вот это локальный импорт экспорт дают возможность вести чат с разных мест.

Знаем, ага. И потом в половине случаев расшифровка истории не работает, особенно если собеседник давно не был онлайн.

Кстати в той статье есть какие не логичные вещи:

Мы не храним секретные чаты на своих серверах. Мы также не ведём учёта отправки сообщений в секретных чатах, и через короткий промежуток времени у нас не остаётся никакой информации о том, кому и когда Вы отправляли сообщения в таких чатах.

и

 Таким образом, технически файл находится на одном из серверов Telegram, но для всех, кроме Вас и Вашего собеседника, он выглядит как бессмысленный набор символов, не поддающийся расшифровке. Мы не знаем ни что скрывается за этими случайными символами, ни к какому именно чату они относятся. Время от времени мы очищаем сервера от этих данных, чтобы освободить место.

Почему в одном случае написано: через короткий промежуток времени

А в другом: Время от времени мы очищаем сервера от этих данных

?

А вот это:

 Информация, которую Вы публикуете в общедоступных сообществах, зашифрована — как и все данные в Telegram — и при хранении, и при передаче, однако Ваши публичные сообщения доступны всем пользователям.

вообще считай полный слив ;)

А что там можно найти если обмен идет через сервер?

Какое слово в «end to end encryption» нужно перевести? Хоть через сто тыщ серверов, это не имеет значения, когда криптография на клиенте.

вообще считай полный слив

Если на улице что-то громко прокричать, то тебя может кто-нибудь услышать. Шок, оцепенение, занавес.

единственно что это всего лишь слова, без доказательства.

Качаешь код отсюда: https://github.com/DrKLO/Telegram Проводишь аудит секретных чатов. Собираешь клиент из этого кода. Дело закрыто.

Я писал отрывок выше, по их словам, у них нет различия между секретными и публичными чатами, и те и те шифруются.

Какое слово в «end to end encryption» нужно перевести?

А где доказательство этого e2e? при условии что обмен идет через сервер? Тогда уж пишите e2s2e что ли.

главное не путать обычный и e2e тобеж сикретный чат :) это совсем другое.

Ну вот, значит мне не показалось.

Где-то вроде были результаты аудита кода и протокола, и там это подтвердилось.

Короче, нельзя верить ни в какое шифрование, кроме того, которое написал сам.

Да. 100%. И ещё оно работать должно на подконтрольной тебе инфре.